漏洞描述
9月14日,腾讯安全威胁情报中心注意到有国外安全厂商将NetLogon特权提升漏洞(CVE-2020-1472)的漏洞技术分析和验证脚本公开上传到github,该漏洞高度危险,漏洞利用代码公开意味着大规模的漏洞利用将很快到来。
编号为CVE-2020-1472的NetLogon特权提升漏洞,是微软8月份发布例行安全公告时披露的,该漏洞评分为10分,为严重等级,即影响面广,漏洞利用后果严重。腾讯安全威胁情报中心在8月12日当天曾经发文提醒企业用户高度关注。
当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。
攻击者利用此漏洞,无须身份验证,可获取域控制器的管理员权限。
漏洞影响范围
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
漏洞修复方案:
1.腾讯安全专家建议用户尽快使用Windows Update安装补丁。
2.建议企业用户参考微软官方文档强制实施安全 RPC 来解决该漏洞。
步骤1:安装 2020年8月11日的安全更新
步骤2:在DC上开启强制模式
具体配置可参考微软官方文档
《如何管理与 CVE-2020-1472 相关联的 Netlogon 安全频道连接中的更改》
时间线:
2020.8.11 微软官方发布漏洞公告;
2020.8.12 腾讯安全威胁情报中心发布漏洞风险通告;
2020.9.11 NetLogon特权提升漏洞测试脚本和技术分析文章在github被公开;
2020.9.14 腾讯安全威胁情报中心再次发布CVE-2020-1472漏洞风险通告。
参考链接:
https://github.com/SecuraBV/CVE-2020-1472
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
如若转载,请注明原文地址